Razlika med XSS in SQL vbrizgavanjem

The ključna razlika med XSS in SQL Injection je ta XSS (ali križanje spletnih strani) je vrsta ranljivosti računalniške varnosti, ki na spletno mesto vbrizga zlonamerno kodo, tako da koda teče pri uporabnikih tega spletnega mesta s strani brskalnika, medtem ko je vstavljanje SQL še en mehanizem za vdiranje v spletno mesto, ki SQL kodo doda v polje za vnos spletnega obrazca za dostop do virov ali za spremembe podatkov.

Vsaka organizacija vzdržuje spletna mesta, ki pomagajo izboljšati poslovanje in dobičkonosnost. Spletna aplikacija vsebuje stranko in stranko. Stranka vključuje uporabniške vmesnike za interakcijo z aplikacijo. Strani strežnika vključujejo bazo podatkov. Običajno obstajajo grožnje, ki vplivajo na pravilno delovanje aplikacije. Dva od njih sta injekcija XSS in SQL.

VSEBINA

1. Pregled in ključne razlike
2. Kaj je XSS
3. Kaj je injekcija SQL
4. Primerjava ob strani - XSS vs SQL vbrizgavanje v tabeli
5. Povzetek

Kaj je XSS?

XSS pomeni Cross Cross Scripting in je eden najpogostejših napadov na spletna mesta. Vpliva lahko na to spletno mesto, pa tudi na uporabnike tega spletnega mesta. Najpogostejši jezik za pisanje zlonamerne kode za napad XSS je JavaScript. XSS lahko ukrade piškotke uporabnika, spremeni uporabniške nastavitve, prikaže različne prenose zlonamerne programske opreme in še veliko več.

Slika 01: XSS

Obstajata dve vrsti XSS. So vztrajni in neobstojni XSS. V obstojni XSS, zlonamerna koda se shrani na strežnik v bazi podatkov. Potem bo tekel na običajni strani. V neobstojen XSS, vbrizgana zlonamerna koda bo poslana strežniku prek zahteve HTTP. Običajno se lahko ti napadi pojavijo na iskalnih poljih.

Kaj je vstavljanje SQL?

SQL Injection je še en mehanizem za kramp spletnih strani. Zlonamerno kodo vnese v izjave SQL prek vnosa spletnih strani. Spletno mesto vsebuje obrazce za zbiranje vnosov uporabnikov. Ko uporabnika vpraša za vnos, kot je uporabniško ime, uporabnik, lahko namesto imena in njega poda izjavo SQL. Torej, lahko deluje na bazi spletnih strani.

Slika 02: Injekcija SQL

Poleg tega je nekaj primerov SQL injekcij:

Pojavi se lahko uporabnik prek uporabniškega imena. Če ni metode preverjanja vnosa, lahko uporabnik vnese napačen vnos. Če vnese uporabnik kot 100 ALI 1 = 1, bo ustvaril stavek SQL na naslednji način.

izberite * od uporabnikov, pri katerih je userid = 100 ali 1 = 1;

Ta stavek SQL lahko vrne vse uporabnike v bazo podatkov, ker je 1 = 1 vedno res. Če je bil to heker in če je baza podatkov vsebovala zaupne podatke, kot so gesla, potem lahko dobi dostop do uporabniških imen in gesel. To je primer za SQL Injection.

Kakšna je razlika med XSS in SQL Injection?

XSS je vrsta ranljivosti računalniške varnosti v spletnih aplikacijah, ki napadalcem omogoča vstavljanje skriptov na strani odjemalca na spletne strani, ki si jih ogledajo drugi uporabniki. Vbrizgavanje SQL je tehnika vbrizgavanja kode, ki napada aplikacije, ki jih poganjajo podatki, ki vstavljajo stavke SQL v vnos, vložen za izvedbo.

XSS na spletno mesto vbrizga zlonamerno kodo, tako da ta koda uporabnikom tega spletnega mesta zažene brskalnik. Po drugi strani pa SQL injekcija doda SQL kodo v vhodno polje spletnega obrazca za dostop do virov ali za spremembo podatkov. To je glavna razlika med XSS in SQL Injection. Najpogostejši jezik za XSS je JavaScript, medtem ko SQL injekcija uporablja SQL.

Povzetek - XSS vs SQL injekcija

Razlika med XSS in SQL Injection je v tem, da XSS na spletno mesto vbrizga zlonamerno kodo, tako da koda v uporabnikih tega spletnega mesta izvrši brskalnik, medtem ko SQL injekcija doda SQL kodo v vhodno polje spletnega obrazca, da pridobi dostop do virov oz. da spremenite podatke.

Referenca:

1. "Kaj je vbrizgavanje SQL? - Opredelitev s strani WhatIs.com. " SearchSoftwareQuality, TechTarget. Na voljo tukaj 
2. "SQL vbrizgavanje." Spletne vadnice za W3Schools. Na voljo tukaj 
3. "Kaj je skriptno skriptanje (XSS)? - Opredelitev s strani WhatIs.com. " Iskanje Varnost, TechTarget. Na voljo tukaj  

Vljudnost slik:

1.'26327769571 'avtor Christiaan Colen (CC BY-SA 2.0) prek Flickr
2.'SQL vbrizgavanje 'Batka savemazaalai - Lastno delo, (CC BY-SA 4.0) prek Commons Wikimedia